Meccanismi di autenticazione e scadenza

Utilizzare questa pagina per specificare le chiavi condivise e configurare il meccanismo di autenticazione utilizzato per scambiare le informazioni tra i server. È inoltre possibile utilizzare questa pagina per specificare la quantità di tempo che le informazioni di autenticazione resteranno valide e specificare una configurazione SSO (single sign-on).

Per visualizzare questa pagina della console di gestione, completare le seguenti operazioni:
  1. Fare clic su Sicurezza > Sicurezza globale.
  2. In Autenticazione, fare clic su Meccanismi di autenticazione e scadenza > LTPA.
Una volta configurate le proprietà su questa pagina, effettuare le seguenti operazioni:
  1. Fare clic su Sicurezza > Sicurezza globale.
  2. Nelle definizioni dei realm disponibili, verificare che sia configurato il registro appropriato.
  3. Fare clic su Applica. Se è abilitata la sicurezza e una di queste proprietà cambia, tornare al pannello Sicurezza globale e fare clic su Applica per convalidare le modifiche.
Gruppo serie di chiavi

Specifica i gruppi di chiavi pubbliche, private e condivise. Tali gruppi di chiavi consentono al server delle applicazioni di controllare più serie di chiavi LTPA (Lightweight Third Party Authentication).

Crea chiavi

Specifica se generare una nuova serie di chiavi LTPA nel keystore configurato e se aggiornare il runtime con queste nuove chiavi. Per impostazione predefinita, le chiavi LTPA vengono generate ogni 90 giorni; questo valore è configurabile su ogni giorno della settimana.

ogni nuova serie di chiavi LTPA viene memorizzata nel keystore associato al gruppo di serie di chiavi. È possibile configurazione un numero massimo di chiavi (o anche una soltanto). Tuttavia, è preferibile avere almeno due chiavi; le chiavi obsolete possono essere utilizzate per la convalida mentre le nuove chiavi vengono distribuite.

Questa operazione non è necessaria durante l'abilitazione della sicurezza. Una serie predefinita di chiavi viene creata durante il primo avvio del server. Se un nodo non è attivo durante un evento di generazione chiavi, prima del riavvio sarà necessario sincronizzare i nodi con il gestore distribuzione.

Timeout cache autenticazione

Specifica l'intervallo di tempo entro il quale scade la credenziale autenticata nella cache. Verificare che questo periodo di tempo sia inferiore al valore di timeout impostato per le credenziali inoltrate tra i server.

Se viene abilitata la sicurezza dell'infrastruttura del server delle applicazioni, il timeout di memorizzazione nella cache di sicurezza può influire sulle prestazioni. L'impostazione di timeout specifica la frequenza di aggiornamento delle cache relative alla sicurezza. Nella cache vengono memorizzate informazioni di sicurezza relative ai bean, autorizzazioni e credenziali. Quando il timeout della cache scade, tutte le informazioni memorizzate nella cache a cui non è stato consentito l'accesso verranno eliminate. Le successive richieste di informazioni comportano una richiesta e un accesso al database. Talvolta, l'acquisizione delle informazioni richiede la chiamata ad un'autenticazione nativa o collegata a LDAP (Lightweight Directory Access Protocol). Entrambe le chiamate rappresentano operazioni che rallentano notevolmente le prestazioni. Determinare il trade-off migliore per l'applicazione, facendo ricorso ai modelli di utilizzo e prendendo in considerazione i requisiti di sicurezza del sito.

Il valore di timeout della cache di sicurezza predefinito è 10 minuti. Se sono presenti pochi utenti, impostare un valore superiore oppure, in caso di un numero elevato di utenti, impostare un valore inferiore.

Il valore di timeout LTPA non deve essere inferiore al timeout della cache di sicurezza. Inoltre, il valore di timeout LTPA deve essere superiore al valore di timeout della richiesta orb. Tuttavia, non esiste alcuna relazione tra il valore di timeout della cache di sicurezza ed il valore di timeout della richiesta orb.

[AIX Solaris HP-UX Linux Windows] [iSeries] In una verifica delle prestazioni di 20 minuti, l'impostazione del timeout della cache in modo tale che non si verifichi un timeout produce un aumento delle prestazioni del 40%.

Tipo dati Numero intero
Unità di misura Minuti e secondi
Valore predefinito 10 minuti
Intervallo: Superiore a 30 secondi
Valore di timeout per le credenziali inoltrate tra server

Specifica il periodo di tempo dopo il quale le credenziali inoltrate scadono.

Specificare un valore per questo campo maggiore al valore di timeout della cache di autenticazione.

Valore predefinito 120 minuti
Nota: Il valore del timeout per le credenziali inoltrate tra server deve essere un numero intero compreso tra 5 e 35971.
Password

Immettere una password che verrà utilizzata per crittografare e decrittografare le chiavi LTPA dal file delle proprietà SSO. Durante l'importazione, questa password deve corrispondere alla password utilizzata per esportare le chiavi su un altro server LTPA (ad esempio, una cella di un altro server delle applicazioni, Lotus Domino Server e così via). Durante l'esportazione, ricordare questa password in modo da fornirla durante l'operazione di importazione.

Dopo aver creato o importato le chiavi, queste vengono utilizzate per codificare e decodificare il token LTPA. Ogni volta che la password viene modificata, si crea automaticamente una nuova serie di chiavi LTPA facendo clic su OK o Applica. La nuova serie di chiavi viene utilizzata una volta salvate le modifiche della configurazione.

Tipo dati Stringa
Conferma password

Specifica la password confermata utilizzata per crittografare e decrittografare le chiavi LTPA.

Utilizzare questa password quando si importano tali chiavi in altre configurazioni di dominio di gestione di un altro server delle applicazioni e quando si configura SSO per il server Lotus Domino.

Tipo dati Stringa
Nome file delle chiavi completo

Specifica il nome del file utilizzato durante l'importazione o l'esportazione delle chiavi.

Immettere un nome file di chiavi completo e fare clic su Importa chiavi o Esporta chiavi.

Tipo dati Stringa
ID server interno

Specifica l'ID server utilizzato per la comunicazione tra processi su server differenti. L'ID server è protetto con un token LTPA se inviato in remoto. È possibile modificare l'ID server interno in modo da renderlo identico agli ID server su più domini di gestione del server delle applicazioni (celle). Per impostazione predefinita, questo ID è il nome della cella.

Questo ID server interno deve essere utilizzato soltanto in un ambiente della Versione 6.1 o superiore. Per celle a versioni miste, è necessario utilizzare un ID utente server e una password per l'interoperabilità.

Per tornare all'ID utente e alla password per l'interoperabilità, effettuare le seguenti operazioni:
  1. Fare clic su Sicurezza > Sicurezza globale.
  2. In Repository account utenti, fare clic sull'elenco a discesa Definizioni ambito disponibili, selezionare un registro utente e fare clic su Configura.
  3. [AIX Solaris HP-UX Linux Windows] [iSeries] Selezionare Identità server memorizzata nel contenitore e immettere un ID e una password validi per il registro.

[z/OS] È possibile specificare l'opzione Genera automaticamente identità server o l'opzione Identità utente per l'attività avviata z/OS.

Tipo dati Stringa
Importa chiavi

Specifica se il server importa nuove chiavi LTPA.

Per supportare SSO (single sign-on) nel prodotto del server delle applicazioni su più domini del server (celle), condividere le chiavi LTPA e la password tra i vari domini. È possibile utilizzare l'opzione Importa chiavi per importare le chiavi LTPA da altri domini. Le chiavi LTPA vengono esportate in precedenza da una delle celle su un file. Per importare una nuova serie di chiavi LTPA, effettuare le seguenti operazioni:
  1. Immettere la password appropriata nei campi Password e Conferma password.
  2. Fare clic su OK, quindi su Salva.
  3. Immettere il percorso della directory in cui si trovano le chiavi LTPA nel campo Nome file delle chiavi completo, prima di fare clic su Importa chiavi.
  4. Non selezionare OK o Applica, ma limitarsi a salvare le impostazioni.
Esporta chiavi

Specifica se il server esporta le chiavi LTPA.

Per supportare SSO (single sign-on) nel prodotto WebSphere su più domini del server (celle), condividere le chiavi LTPA e la password tra i vari domini. Utilizzare l'opzione Esporta chiavi per esportare le chiavi LTPA su altri domini.

Per esportare le chiavi LTPA, verificare che il sistema sia in esecuzione con la sicurezza abilitata e che stia utilizzando LTPA. Immettere il nome file nel campo Nome file delle chiavi completo e fare clic su Esporta chiavi. Le chiavi codificate vengono memorizzate nel file specificato.

Usa comunicazione autenticata non SWAM tra server [AIX Solaris HP-UX Linux Windows]

Specifica il meccanismo SWAM (Simple WebSphere Authentication Mechanism). Le credenziali non autenticate vengono inoltrate tra i server. Quando un processo chiamante richiama un metodo remoto, la relativa identità non viene verificata. A seconda delle autorizzazioni di sicurezza per i metodi EJB, è possibile che si verifichino errori di autenticazione.

SWAM non è più utilizzato e verrà rimosso da un rilascio futuro. Si consiglia di utilizzare LTPA per la comunicazione autenticata tra server.




I collegamenti contrassegnati (online) richiedono un accesso a Internet.

Attività correlate


Nome file: usec_authmechandexpire.html